现在世界各地的企业都在关注如何保护他们的信息资产,他们需要这些资产用以制造产品、提供服务、在市场区分自己、生成利润以及为其客户和股东创造价值,为此,这些企业正在投入巨大的资源来保护重要的信息资产。
企业和政府机构每天都在攻击笼罩之下,这种预防攻击的成本非常巨大。根据国际战略研究中心和安全公司McAfee在2014年的研究显示,美国网络犯罪成本每年占国内生产总值的0.64%。从2015年18万亿美元国内生产总值来看,这意味着每年的网络犯罪成本是1152亿美元。
鉴于网络犯罪成本如此之高,企业可能会想“为什么我不能保护自己以抵御不断的攻击,并减少损失呢?”其实,企业可以保护自己,甚至可以进行“反攻击”。但典型网络安全防御通常是这样:被动地坐着,等待下一次攻击,同时祈祷自己部署的防御措施会发挥作用。
企业可能希望攻击者不会发现他们没有部署任何防御措施的位置,但也知道攻击者会比他们更早地知道下一个新漏洞。攻击者在企业部署有效防御之前就已经有了漏洞利用包,企业最终会意识到,这种采用纯粹的防御战略来保护其信息资产的方式已然行不通。
这种类型的战略会失败在于信息防御的不对称性。这种不对称性往往表现在,“要想成功抵御攻击者,防御者需要确保所有时间内100%的正确,而攻击者只需要找准‘一次的错误’就可成功。”
常用的防御战略无法有效保护重要信息资产,这增加了企业的挫败感,他们花费在网络安全的资源充其量只能提供低水平的保护。
对于投资了网络安全但仍遭受攻击、入侵和损失的企业,受挫和愤怒之情会让他们变得更加愿意积极进取地应对攻击者。美国黑帽大会2012年的调查显示,36%的受访者声称他们已经开始对网络安全攻击进行打击报复。
打击报复攻击者的一种具体方法是“反攻击”,是指受攻击的目标会反过来攻击网络罪犯或黑客。对于愿意考虑对黑客进行反攻击的企业来说,都有哪些问题需要考虑呢?
攻击与反攻击
攻击的定义是在未经授权的情况下,访问计算机、网络或信息系统,包括其信息。攻击涉及绕过安全控制或恶意的漏洞利用。
反攻击也是指在未经授权的情况下访问计算机、网络或信息系统。这两者的区别在于动机不同。企业进行反攻击的动机可能是恢复或擦除被盗数据或知识产权,其他反攻击的动机可能从本质上来看属于报复,包括破坏或损坏攻击者的系统以及破坏他们今后执行攻击的能力。
是否执行反攻击应该由最高管理层作出决策。反攻击是技术性活动,是否要这样做属于企业性决策。信息安全是以业务为核心的运营风险管理活动,用反攻击来保护信息需要从风险管理的角度来考虑。
法律和道德问题
如果恶意攻击是非法活动,那么反攻击也是非法的。在美国,1986年的计算机欺诈与滥用法案(CFAA)表明,对计算机的未经授权访问被视为非法。
反攻击的另一个问题是附带损害。网络罪犯通常使用不知情的第三方计算机执行攻击,有时候会整合这些受感染计算机为僵尸网络,用于发动攻击和分发垃圾邮件及恶意软件。明确攻击者的真正来源很困难,对第三方拥有的计算机执行的反攻击带来了严重的责任问题。1994年对CFAA法案的修正案允许民事索赔。
撇开合法性来看,简单的道德准则包括“不伤害”,“尊重员工、承包商和供应商”以及“遵守法律”等都会被反攻击涉及的活动和结果所侵犯。
风险
反攻击包含以下风险:
经济损失
企业需要回答几个问题:反攻击是否提供任何财政激励措施?反攻击是否会减少损失或恢复信息资产及知识产权?反攻击是否可防止对计算机和网络的损坏?反攻击可节省多少成本?反攻击需要什么代价?
信誉与客户信心
如果反攻击活动吸引了媒体和执法组织的目光,这可能会影响企业的声誉。如果反攻击对第三方造成损害呢?这还会影响客户的信心,可能影响企业收入。
民事和刑事处罚
反攻击可能导致哪些潜在处罚?攻击者不太可能被起诉,但企业可能因为反攻击被强制执行离线及造成业务损失。
对于刑事起诉,美国政府在积极查找违反CFAA的行为,尽管不是针对反攻击而言的。
生产效率
拒绝服务供给带来的工作效率和业务损失可能非常严重。反攻击是对拒绝服务供给的现实应对策略吗?反攻击能否减少破坏以及加速从恶意攻击事件中恢复的速度?
安全性
在试图反攻击后,如果攻击者决定进行更多攻击,仅仅是为了破坏你的信息系统以及你开展业务的能力呢?全面的拒绝服务对你的企业意味着什么?
责任
如果反攻击对第三方造成损害呢?第三方决定在民事法庭寻求赔偿呢?
反攻击并非……
反攻击并非网络安全最佳做法的替代品,反攻击是所有其他办法都失效情况下,不得已而为之的策略。在企业已经部署了世界级的网络安全计划、政策和程序,并有丰富运作经验后,才可考虑反攻击。对于可能存在的各种法律和道德问题,企业应该思考反攻击是否确实是合理可行的网络安全保护战略。
